主动性合规驱动信息安全保障工作潘柱廷 启明星辰首席战略官

自动性合规管理驱动信息平安保证任务启明星辰CSO潘柱廷破题〔暨摘要〕信息平安保证的四种需求驱动力被动的合规性管理是实真实在的动力自动的驱动力更利于良性建立PSPC需求驱动筐架需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance问题型本人机构〔或看到其他机构〕正在发生、曾经发生的平安问题所引出的平安需求。比如：网站被入侵、网络遭到病毒损害、发生火灾导致数据丧失等等。这些问题会立刻引发平安问题处理的需求，比如：防病毒、入侵检测、备份等等。这类需求是信息平安产业最原始的动力。体系化单独的平安问题被逐渐地被综合思索，政策性的指点被逐渐深化了解和实际从体系化的角度思索平安需求和平安建立，强调建立“信息平安保证体系〞、“监控体系〞、“应急体系〞、“业务平安体系〞等等。这样的体系化需求，可以让客户建立起来一些继续多年的继续性需求，这种需求经常会表现为一个继续2-3年以上的平安规划。政策性由于主管机关的要求和政策性引导，敦促机构对于平安问题的注重，加强平安投入，从而引出了很多平安需求。这样的需求，经常由于机构本身对于问题的紧迫性缺乏，对于需求的了解不透，而导致平安投入和平安建立流于方式。但是这个需求是在一定阶段中支撑了整个信息平安产业的开展的。合规性合规性要求经常表现为法律法规的要求、规范的要求、行业主管机关和监管机关的行政要求等等。比如国际上的萨班斯-奥克斯利法案、巴塞尔协议、ISO27000系列〔7799系列〕等；再比如国内的等级维护要求、风险评价、商业银行内控要求等等。这些合规性要求曾经是多方面平安需求和阅历的综合，经常具有一定的强迫性。经过合规性所引发的平安需求会构成非常稳定的产业买卖需求，可以说是产业稳定开展的重要支柱。信息平安产业要素买卖品(形状/价值/技术)提供商(方式/才干/资本)第三方〔主管机构、测评机构、媒体等〕客户(需求)PSPC需求驱动力在产业要素上的分布买卖品(形状/价值/技术)提供商(方式/才干/资本)第三方〔主管机构、测评机构、媒体等〕客户(需求)问题型体系化合规性政策性问题型需求驱动的特点问题经常来源于客户实践问题经常是不成体系的〔看起来〕需求满足经常是“头痛医头，脚痛医脚〞问题处理要求很快，追求速效问题所带来的需求都非常真实问题处理方法经常表达为面向脆弱性平安比如：防病毒、入侵检测、防火墙等体系化需求驱动的特点经常来源于从专家和厂商而来的技术推进客户零散的问题，被内外部专家提炼看起来成体系，但是由于有笼统，和实践总是有些差别经常表现为：构造化平安比如：保证体系、可信计算、管理平台等由于各个要素的牵扯，所以见效较慢启明星辰信息平安保证总体框架可信计算组织—TNC可信网络衔接规范启明星辰泰合信息平安管理平台体系构造破绽评价中心事件/流量/运转监控中心风险分析决策支持与预警系统响应管理系统显示报告体系构造表示图ScannerIDSFWAV主机与网络设备人工审计外部呼应系统〔平安设备管理系统与网管〕战略管理平台资源管理平台其他事件检测系统其他形状检测系统资产管理平台一致信息知识库外部协同用户管理平安知识管理平台本身平安体系化需求驱动的特点经常来源于从专家和厂商而来的技术推进客户零散的问题，被内外部专家提炼看起来成体系，但是由于有笼统，和实践总是有些差别经常表现为：面向构造性平安比如：保证体系、可信计算、管理平台等由于各个要素的牵扯，所以见效较慢完全靠体系来驱动，力度经常缺乏政策性需求驱动的特点经常来源于上级机构和主管机构虽然不追求完美的体系，但是政策性要求有一定整体性政策性要求不是强迫性的，有一定的灵敏性经常表现为：一些要点总结中办发[2003]27号国家信息化指点小组关于加强信息平安保证任务的意见〔2003年8月26日〕加强信息平安保证任务-总体要求总体要求：坚持积极防御、综合防备的方针全面提高信息平安防护才干重点保证根底信息网络和重要信息系统平安创建平安安康的网络环境保证和促进信息化开展维护公众利益，维护国家平安加强信息平安保证任务-主要原那么主要原那么：立足国情，以我为主，坚持管理与技术并重；正确处置平安与开展的关系，以平安保开展，在开展中求平安；统筹规划，突出重点，强化根底性任务；明确国家、企业、个人的责任和义务，充分发扬各方面的积极性，共同构筑国家信息平安保证体系。加强信息平安保证任务-九项义务系统等级维护和风险管理基于密码技术的信息维护和信任体系网络信息平安监控体系应急处置体系加强技术研讨，推进产业开展法制建立、规范化建立人才培育与全民平安认识保证信息平安资金加强对信息平安保证任务的指点，建立健全信息平安管理责任制政策性需求驱动的特点经常来源于上级机构和主管机构虽然不追求完美的体系，但是政策性要求有一定整体性政策性要求不是强迫性的，有一定的灵敏性经常表现为：一些要点总结厂商和客户普通在政策上的敏感度不高政策性的实践推进力经常缺乏合规性需求驱动的特点经常来源于上级机构和主管机构强迫性、具有极强的推进力和约束力有很多stackholder会推波助澜典型的合规性要求密码管理计算机平安产品销售答应等级维护萨班斯-奥克斯利法案。。。合规性需求驱动的特点经常来源于上级机构和主管机构强迫性、具有极强的推进力和约束力有很多stackholder会推波助澜合规性要求经常被夸张扭曲，或者委曲应付如何恰当地利用合规性了解从问题-体系-政策-合规的因果低调对待合规性，将合规性向政策性转化防止最坏情况追求更好目的到达最低要求将合规性向内部传送PSPC需求驱动筐架需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance自动性合规管理买卖品(形状/价值/技术)提供商(方式/才干